Onderzoekers van de Vrije Universiteit (VU) hebben een nieuwe aanval voor Android ontwikkeld die via JavaScript is uit te voeren en het mogelijk maakt om wachtwoorden, browsegeschiedenis en andere data uit de browser te stelen. Alleen het bezoeken van een kwaadaardige website is voldoende.

Door de nieuwe aanval met een andere aanval te combineren zou het ook mogelijk zijn om het toestel zelf te compromitteren. De aanval is een variant op de in 2015 gedemonstreerde Rowhammer-aanval en maakt het mogelijk om de inhoud van het werkgeheugen te manipuleren. In tegenstelling tot voorgaande Rowhammer-aanvallen maakt de aanval van de VU-onderzoekers gebruik van de grafische processor (gpu) van Android-telefoons. Daarnaast is het ook de eerste Rowhammer-aanval die via JavaScript wordt uitgevoerd.

De onderzoekers hebben hun aanval GLitch genoemd, een verwijzing naar WebGL. Voor het manipuleren van het werkgeheugen via de gpu wordt er namelijk van de WebGL-programmeerinterface gebruikgemaakt. Geheugenchips zijn georganiseerd in een soort rasterpatroon van "rijen" en "kolommen". De afgelopen jaren hebben geheugenchips een steeds grotere capaciteit gekregen, waarbij de geheugencellen steeds dichterbij elkaar worden geplaatst. Hierdoor nemen de kosten af, maar de celdichtheid heeft negatieve gevolgen voor de betrouwbaarheid van het geheugen.

De dichtheid zorgt ervoor dat de cellen invloed op elkaar hebben. Door het herhaaldelijk benaderen van geheugenrijen kan data in nabijgelegen rijen corrupt raken. Het herhaaldelijk benaderen van een geheugenrij kan ervoor zorgen dat bits in aangrenzende rijen worden "geflipt". Door het flippen van deze bits is het uiteindelijk mogelijk om het geheugen te manipuleren en toegang tot data te krijgen die anders niet toegankelijk zou moeten zijn.

Om de aanval te demonstreren hebben de onderzoekers een exploit voor Firefox 57 op een Nexus 5-telefoon ontwikkeld. Zowel Google als Mozilla hebben aanpassingen aan Chrome en Firefox doorgevoerd om gebruikers te beschermen. In Chrome 65 en Firefox 59 die in maart verschenen is de WebGL-functie uitgeschakeld waar de aanval gebruik van maakt. Daarnaast zal Firefox 60 die op 9 mei uitkomt verdere bescherming tegen de aanval bieden. Google laat tegenover Ars Technica weten dat de aanval voor de meeste gebruikers geen "praktisch probleem" is.

"Het is belangrijk om te beseffen dat de GLitch-aanval alleen succesvol op een Nexus 5-telefoon is gedemonstreerd, die in 2013 verscheen. De Nexus 5-telefoon ontving de laatste beveiligingsupdate in oktober 2015 en is daarom al een onveilig apparaat om te gebruiken", zegt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. De onderzoekers laten weten dat ze bewust voor dit toestel hebben gekozen omdat ze wisten dat die kwetsbaar was. Dat wil echter niet zeggen dat andere telefoons geen risico lopen, aangezien de aanval kan worden aangepast. In onderstaande video wordt de exploit gedemonstreerd.